Polizze AI liability: la certificazione dei dati come prerequisito di copertura
Le polizze AI liability sono nate per coprire un rischio che le coperture tradizionali gestiscono male: i danni causati dalle decisioni autonome dei sistemi di intelligenza artificiale. C'è però un ostacolo che ferma molte imprese prima della firma: gli assicuratori non possono valutare un rischio che non riescono a osservare, e i log interni di un sistema AI, modificabili e privi di data certa, non bastano come prova. Cosa deve documentare un'impresa per ottenere la copertura? La certificazione dei dati alla fonte, il processo che trasforma log, decisioni e output degli agenti AI in dati certificati con integrità e data certa, descritto nella guida sulla certificazione dei dati degli agenti AI. È questo il prerequisito documentale che rende un sistema AI assicurabile.
Questo approfondimento fa parte della guida: Certificazione dei dati degli agenti AI: governance e conformità
Perché gli assicuratori chiedono prove verificabili sui sistemi di intelligenza artificiale
Gli underwriter chiedono prove verificabili perché il rischio AI è nuovo e difficile da quantificare: senza registri attendibili delle decisioni del sistema non possono stimare la probabilità di sinistro né ricostruire l'accaduto dopo un danno. Secondo la IAPP, l'associazione internazionale dei professionisti della privacy, gli assicuratori concentrano la valutazione proprio su come l'impresa dichiara, registra e verifica gli output dei propri sistemi di intelligenza artificiale. Le polizze AI liability subordinano quindi la copertura a tre condizioni documentali: log immutabili, versioni tracciate di prompt e output, registri firmati con marca temporale e data certa. La domanda del mercato cresce in fretta: le ricerche per "AI liability insurance" sono aumentate di oltre l'800% su base annua e, secondo le stime di Deloitte, i premi assicurativi dedicati all'AI raggiungeranno circa 4,7 miliardi di dollari entro il 2032.
Il mercato si sta adeguando. Le prime polizze autonome sono nate tra il 2025 e il 2026 con agenzie di sottoscrizione specializzate come Testudo e Armilla, che opera con capacità dei Lloyd's. Le coperture tradizionali si muovono intanto in direzione opposta: le clausole di esclusione più recenti tolgono dalla copertura le richieste di risarcimento legate agli output dell'AI generativa, dalla diffamazione alle violazioni di privacy e diritto d'autore.
Prima di firmare, gli assicuratori valutano in concreto:
- un audit trail (tracciato di audit) immutabile, con impronte hash dei modelli e dei dataset utilizzati;
- prompt e output versionati, ricollegabili a ogni decisione del sistema;
- registri firmati e con marca temporale, opponibili in caso di contestazione;
- presidi di governance, a partire dall'autonomia limitata degli agenti AI (bounded autonomy), che definisce i confini entro cui il sistema può agire.
Il quadro normativo spinge nella stessa direzione. Negli Stati Uniti la NAIC ha fissato le aspettative di governance sull'uso dell'AI in ambito assicurativo. In Europa l'articolo 12 dell'AI Act impone ai sistemi ad alto rischio la registrazione automatica dei log lungo l'intero ciclo di vita, con regime pienamente applicabile dal 2 agosto 2026; in Italia la legge 132/2025 e i decreti attuativi del 2026 completano il quadro nazionale. La documentazione richiesta dalla legge è la base minima di quella richiesta dalla polizza: chi la produce già in forma verificabile parte avvantaggiato anche sul fronte della responsabilità legale dell'AI agentica.
TrueScreen certifica gli output dei sistemi AI con un tracciato di audit verificabile, il tipo di documentazione che gli underwriter valutano in fase di sottoscrizione.
Certificazione dei dati alla fonte: come soddisfare i requisiti delle polizze AI liability
Per soddisfare i requisiti delle polizze AI liability non basta conservare i log: bisogna dimostrare che non sono stati alterati e collocarli nel tempo in modo opponibile. La certificazione dei dati alla fonte aggiunge ai log ciò che manca: integrità verificabile tramite hash, data certa tramite marca temporale qualificata e una catena di custodia documentata.
La certificazione dei dati indica il processo che acquisisce un contenuto digitale nel momento in cui viene generato e ne fissa in modo permanente integrità, origine e data certa. La differenza rispetto a un log grezzo è sostanziale. Un log è un file che chi amministra il sistema può modificare o cancellare senza lasciare traccia: in una contestazione ha valore probatorio debole, perché racconta una versione dei fatti senza dimostrarla. Un dato certificato è invece associato a un'impronta hash che ne prova l'integrità, a una marca temporale qualificata erogata da un QTSP che ne fissa la data certa e a una catena di custodia documentata che ne ricostruisce origine e passaggi: diventa una prova opponibile a terzi, assicuratori compresi. Per un underwriter la distinzione è decisiva, perché sposta la valutazione del rischio da dichiarazioni di parte a documentazione verificabile in autonomia.
La tabella riassume cosa coprono, cosa escludono e cosa richiedono le polizze AI liability:
| Cosa coprono | Cosa escludono | Cosa richiedono |
|---|---|---|
| Danni a terzi da errori, allucinazioni o decisioni scorrette del sistema AI | Richieste di risarcimento legate a output di AI generativa (diffamazione, privacy, diritto d'autore) escluse dalle polizze tradizionali | Audit trail immutabile con impronte hash di modelli e dataset |
| Sottoperformance rispetto a soglie di prestazione dichiarate | Uso doloso del sistema o violazioni consapevoli di legge | Prompt e output versionati per ogni decisione |
| Spese legali e di difesa nelle contestazioni sugli output | Sistemi documentati solo con log modificabili | Registri firmati, con marca temporale e data certa |
La stessa logica vale per i flussi tra sistemi: l'audit delle comunicazioni tra agenti AI documenta chi ha trasmesso cosa e quando nelle architetture multi-agente, un requisito di underwriting sempre più frequente. La documentazione certificata non serve del resto solo alla polizza: come illustrato nella guida su governance e conformità dei sistemi AI, gli stessi dati alimentano controlli interni, audit di conformità e risposte alle autorità di vigilanza.
Come TrueScreen supporta la documentazione assicurativa dei sistemi AI
La certificazione dei dati alla fonte, come quella fornita da TrueScreen, trasforma i log grezzi degli agenti AI in prove opponibili con integrità e data certa. La piattaforma si integra nei sistemi aziendali tramite API: ogni input, decisione e output dell'agente viene acquisito con metodologia forense nel momento in cui viene generato, associato a un'impronta hash che ne garantisce l'integrità e certificato con marca temporale qualificata e sigillo elettronico qualificato erogati da QTSP terzi integrati nella piattaforma. Il risultato è un dato con valore legale, verificabile da chiunque e in qualsiasi momento, che risponde punto per punto ai requisiti degli underwriter delle polizze AI liability: immutabilità, data certa, catena di custodia. La certificazione avviene in tempo reale e si applica a output testuali, documenti e file, senza modificare l'architettura del sistema né rallentarne le operazioni.
Un esempio concreto. Un agente AI esegue in autonomia una valutazione di sottoscrizione (underwriting) su una pratica assicurativa; mesi dopo un cliente contesta l'esito e presenta una richiesta di risarcimento. Con la certificazione alla fonte, l'impresa consegna all'assicuratore la sequenza certificata di input, regole applicate e output, con data certa e integrità dimostrabile: l'assicuratore verifica la condotta del sistema invece di presumerla, e la pratica si chiude su basi documentali. È lo stesso principio per cui le prove digitali nei sinistri assicurativi accelerano liquidazioni e contestazioni: meno incertezza per chi valuta il rischio, condizioni migliori per chi chiede la copertura.
